Dans ce document consacré aux attaques, les chercheurs d’Harmony Email expliquent comment les pirates utilisent Google Collections pour partager des liens de phishing.

L’attaque
Dans cette attaque, les pirates utilisent les pages de Google pour envoyer des liens vers de faux sites de crypto-monnaies.
• Vecteur : Email
• Type : Récupération des identifiants
• Techniques : Ingénierie sociale, BEC 3,0
• Cible : Tout utilisateur final

Exemple d’email :

Le premier e-mail arrive de manière classique, via une notification en provenance directe de Google. C’est dû au fait que le pirate a partagé le contenu de la collection avec l’utilisateur final. L’e-mail est envoyé depuis une adresse no-reply@google.com. Cette adresse est légitime et les pirates comme les utilisateurs finaux le savent. Vous pouvez également cliquer sur le lien : en survolant l’URL, vous verrez apparaître un lien Google légitime. La page ci-dessous est également, vous l’aurez deviné, une page Google légitime.

Les collections Google fonctionnent de la même manière que ci-dessus, avec un certain nombre de figures différentes semblables à des cartes. Vous pouvez créer des liens vers des images, des pages web, etc. au sein de cette collection. Si vous cliquez sur la carte, vous accédez à la page ci-dessous :

Il s’agit du lien vers lequel ils veulent que vous arriviez, un formulaire Google. Il vous redirigera vers un faux site de crypto-monnaie, qui vous volera de l’argent.

Techniques
Le bas de la page Google contient une précision importante : « Ce contenu n’est ni créé ni validé par Google. »

Cette précision est essentielle : cela ne signifie pas que Google est désormais illégitime ou dangereux. Bien au contraire. Mais Google, comme de nombreux sites, vous permet de publier n’importe quel contenu sur sa page. Les pirates abusent de ce privilège pour placer des sites illégitimes et malveillants.

Pour augmenter les chances que leurs charges utiles atteignent leur cible, ils les intègrent de manière astucieuse. Il n’est pas dans le premier lien de l’e-mail. Il n’est pas dans le deuxième lien de l’e-mail non plus. Il est caché dans le troisième lien.
Alors oui, les utilisateurs finaux doivent passer par tous ces liens et toutes ces couches, et cela ne constitue certainement pas une garantie.
Mais à force de voir les liens Google les uns après les autres, les hésitations peuvent commencer à s’estomper. Et lorsque la vigilance diminue, les utilisateurs peuvent être plus enclins à cliquer librement sans se méfier.
C’est bien ce qu’espère BEC 3.0. Ce n’est pas une ruse, mais plutôt un moyen de retourner les connaissances de l’utilisateur contre lui. Étant donné que cela semble être une norme (parce que c’est une norme), les utilisateurs pourraient être plus enclins à coopérer.
Or cela pourrait entraîner de réels dommages.
Check Point a informé Google de cette découverte le 5 juillet dernier.

Les meilleures pratiques : conseils et recommandations
Pour se défendre contre ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :
• Instaurer une sécurité qui utilise l’IA pour analyser plusieurs indicateurs de phishing.
• Appliquer une sécurité complète capable d’analyser documents et fichiers.
• Mettre en œuvre une protection efficace des URL qui analyse et émule les pages web.